SIEM Tuning

»Ein SIEM ist kein Produkt, das out-of-the-box funktioniert – ohne entsprechende Einrichtung und kontinuierliche Pflege wird es nur zur Belastung.«

Crypto Team

Ihre aktuelle Lage

Das SIEM ist da, eventuell sogar vom Hersteller erstmalig eingerichtet, aber so richtig will sich der Sicherheitsgewinn nicht aufzeigen lassen. Ein SIEM muss speziell auf die eigene Infrastruktur angepasst werden und benötigt permanente Pflege, um seine Detektionsfähigkeit zu wahren. Meistens fehlt es an Know-how oder einfach an der Manpower, um das SIEM fachgerecht zu betreiben. Ein mangelhaft betriebenes System erzeugt leider oftmals durch False-Positive-Alarme mehr Arbeit als es Sicherheitsgewinn bringt. Aber auch wenn Ihr SIEM bereits gute Ergebnisse erzielt, können Regelwerke, Security Use Cases und die Prozesse dahinter immer optimiert werden. Die Erfahrung zeigt, dass eine Handvoll durchdachter Security Use Cases ein höheres Detektions- und Sicherheitsniveau bieten, als die tausend zu Beginn mitgelieferten und unangepassten Korrelationen. Auch sind für ein SIEM niemals alle Logs innerhalb Ihrer IT notwendig, um auf Bedrohungen zu reagieren. Ganz im Gegenteil: Viele Logs haben keinerlei Security-Relevanz und füllen nur unnötig Ihre Festplatten bzw. erhöhen Ihre Lizenzkosten.

Unsere Empfehlung

Passen Sie Ihr SIEM und dessen Korrelationswerk an Ihre Infrastruktur an und überlegen Sie, welche Attacken es überhaupt detektieren kann. Abgestimmte Security Use Cases verbunden mit aussagekräftigen Dashboards lassen jeden Angreifer in Ihrem Netzwerk auffliegen. Durch SIEM Tuning lassen sich Fehlalarme auf ein Minimum reduzieren, um Ihr Team in Rufbereitschaft möglichst zu schonen. Scheuen Sie auch nicht den Vergleich und treten Sie zum Erfahrungsaustausch Communities bei.

Das SIEM stellt üblicherweise das Herzstück des eigenen Security Operations Centers und damit aller Verteidigungsaktivitäten dar. Als reaktive Maßnahme ersetzt das SIEM natürlich keine zusätzlichen präventiven Maßnahmen wie z.B. Vulnerability Management. Dennoch sollte gerade hier alles reibungslos funktionieren. Holen Sie sich Beratung zum SIEM-Aufbau, SIEM-Alarmen, Security Use Cases, Korrelationen, Log-Quellen, Dashboards und anderen Themen, um das Maximum aus Ihrem SIEM herauszuholen.

Was wir für Sie tun können

Wir stellen Ihnen erfahrene Security Consultants zur Seite, die ihr Wissen und ihre Erfahrung aus einer Vielzahl an Projekten für die Verbesserung Ihres SIEMs einsetzen. Auch wenn Sie sich noch in der Beschaffung des SIEMs befinden, können wir Ihnen bereits bei der Konzeption behilflich sein und Sie produktunabhängig beraten, sodass Ihre Investition möglichst schnell zu einem Sicherheitsgewinn führt.

Unsere Stärken liegen dabei in den Tools McAfee ESM, IBM QRadar und Splunk.

Ganz nach Ihren Bedürfnissen packen wir auch praktisch mit an und entwickeln z. B. Korrelationen für Ihr Netzwerk, bauen Dashboards, programmieren Integrationen oder schreiben "Runbooks" – wir empfehlen bei Security übrigens immer einen Zettel statt einem Buch. So schön der Roman "Behandlungsplan" im Regal aussieht, bei einem Sicherheitsvorfall möchte man kein Buch lesen müssen. Ein Poster an der Wand ist deutlich effektiver.

Das Ziel unserer Unterstützung ist es, dass Ihr Team eigenständig das SIEM betreuen, erweitern und pflegen kann. Wir geben Ihnen Starthilfe und bringen Sie auf den richtigen Weg.

Wir unterstützen Sie beim:

  • Erarbeiten von Security Use Cases
  • Anpassen von Korrelationen
  • Erstellen von Dashboards
  • Anbinden von Log-Quellen
  • Anpassen des Log Parsing
  • Optimieren von SIEM- und Incident-Response-Prozessen
  • Schreiben von Runbooks

Wir unterstützen Sie auch gerne in weiteren Themen der Informations- oder IT-Sicherheit, wie dem SOC-Aufbau, in der Forensik oder beim Schwachstellenscanning. Fragen Sie gerne bei uns an.

Aktuelles

Keine aktuellen Neuigkeiten vorhanden.